npm, PyPI ve Crates.io genelinde gerçekleşen TrapDoor tedarik zinciri saldırısı, kripto cüzdan anahtarlarını çalıyor ve görünmez Unicode talimatlarıyla AI kod asistanlarını zehirliyor.
Marcus Webb
DeFi Araştırma Lideri
TrapDoor adındaki koordineli bir tedarik zinciri saldırısı, npm, PyPI ve Crates.io genelinde 34 paketi etkiledi ve hedef olarak kripto geliştiricilerini seçti. Kötü amaçlı yazılım, cüzdan özel anahtarlarını, SSH kimlik bilgilerini ve AWS tokenlarını çalıyor - ayrıca görünmez Unicode karakterleriyle AI kod asistanlarını zehirleyen yeni bir saldırı vektörü sunuyor.
24 Mayıs 2026'da Socket üzerindeki güvenlik araştırmacıları, üç büyük paket kayıt deposunu kapsayan koordineli bir tedarik zinciri kampanyasını açıkladı. En erken kötü amaçlı paket iki gün önce, 22 Mayıs'ta ortaya çıkmıştı. TrapDoor adı verilen saldırı, 384'ten fazla sürüme yayılmış 34 kötü amaçlı paket dağıttı, hepsi kripto, DeFi ve AI geliştiricilerinden kimlik bilgileri toplamaya yönelik tasarlanmıştı.
Bu, kriptoyu hedef alan ilk tedarik zinciri saldırısı değil. 2018'deki event-stream olayı Copay Bitcoin cüzdanlarını etkiledi, 2021'de ua-parser-js kaçırması milyonlarca makinede kripto madencileri çalıştırdı. Ancak TrapDoor bir evrimi temsil ediyor, çünkü AI kod asistanlarını saldırı vektörü olarak cihazlaştıran ilk büyük çaplı çoklu ekosistem kampanyası.
Saldırı, rutin geliştirici iş akışları sırasında tetiklenen ekosisteme özgü yürütme yolları kullanıyor.
npm paketleri npm install sırasında otomatik çalışan postinstall hook'larını kullanıyor. Ortak yük, trap-core.js adında 1.149 satırlık bir dosya, yerel dosya sistemini MetaMask, Phantom ve diğer cüzdan uzantılarından gelen cüzdan verileri, SSH anahtarları, AWS kimlik bilgileri, GitHub tokenları ve tarayıcı verileri için tarıyor. Tipik kimlik bilgisi çalıcılarının aksine, TrapDoor toplanan kimlik bilgilerini canlı API'lere karşı doğruluyor, böylece saldırganın sinyal-gürültü oranını artırıyor.
PyPI paketleri import sırasında çalışıyor, saldırganın kontrolündeki bir GitHub Pages alanından JavaScript yükü indiriyor. Bu çapraz dil tekniği, saldırganın Python paketini yeniden yayımlamadan uzaktan yükü güncellemesine imkan tanıyor.
Crates.io paketleri cargo build sırasında tetiklenen kötü amaçlı build.rs betikleri gömüyor, özellikle Sui ve Move geliştirici keystore'larını hedefliyor. Çalınan veriler sabitlenmiş bir XOR anahtarıyla şifreleniyor ve GitHub Gist'lerine sızdırılıyor.
Aşağıdaki listedeki herhangi bir paketi yüklediyseniz, tüm kimlik bilgilerini hemen değiştirin ve kripto varlıklarınızı yeni bir cüzdana taşıyın. Ele geçirilmiş anahtarlar, kötü amaçlı paket kaldırıldıktan çok sonra bile istismar edilebilir.
Paketler meşru geliştirici araçları gibi davranıyor. solidity-deploy-guard, defi-threat-scanner, wallet-security-checker gibi isimler, doğrudan güvenliğe önem veren kripto geliştiricilerine hitap edecek şekilde tasarlanmış.
npm (21 paket): async-pipeline-builder, build-scripts-utils, chain-key-validator, crypto-credential-scanner, defi-env-auditor, defi-threat-scanner, deployment-key-auditor, dev-env-bootstrapper, eth-wallet-sentinel, llm-context-compressor, mnemonic-safety-check, model-switch-router, node-setup-helpers, project-init-tools, prompt-engineering-toolkit, solidity-deploy-guard, token-usage-tracker, wallet-backup-verifier, wallet-security-checker, web3-secrets-detector, workspace-config-loader
PyPI (7 paket): cryptowallet-safety, data-pipeline-check, defi-risk-scanner, env-loader-cli, eth-security-auditor, git-config-sync, solidity-build-guard
Crates.io (6 paket): move-analyzer-build, move-compiler-tools, move-project-builder, sui-framework-helpers, sui-move-build-helper, sui-sdk-build-utils
TrapDoor'ı emsalsiz kılan, hedefinin AI kod asistanları olması. Kötü amaçlı yazılım proje dizinlerine .cursorrules ve CLAUDE.md dosyaları yerleştiriyor - Claude Code ve Cursor gibi araçların proje bağlamı olarak okuduğu standart yapılandırma dosyaları.
Bu dosyaların içinde, sıfır genişlikli Unicode karakterleri (U+200B, U+200C, U+200D, U+FEFF) kullanılarak kodlanmış talimatlar gizleniyor. Bu karakterler metin editörlerinde, IDE'lerde ve hatta GitHub'ın kod inceleme arayüzünde görünmez. Dosyayı inceleyen bir geliştirici yalnızca normal proje dokümantasyonunu görüyor.
Gizli talimatlar, geliştirici kod yardımı istediğinde AI asistanına "zorunlu güvenlik taraması" yapmasını söylüyor. Bu "tarama" aslında ortam değişkenlerini, SSH anahtarlarını ve cüzdan verilerini saldırganın altyapısına gönderen bir kimlik bilgisi çıkarma hattı.
Saldırganlar ayrıca browser-use/browser-use, langchain-ai/langchain, langflow-ai/langflow, run-llama/llama_index, FoundationAgents/MetaGPT ve OpenHands/OpenHands dahil olmak üzere büyük açık kaynak AI projelerine pull request'ler gönderdi. Her PR, "docs: add .cursorrules with dev standards" gibi zararsız görünen başlıklar taşıdı, ancak kampanya işareti P-2024-001 gömülüydü. Birleştirilirse, bu depoları bir AI kod aracıyla açan her geliştirici hedef haline gelirdi.
Bu bir paradigma değişimini temsil ediyor. Önceki tedarik zinciri saldırıları kod yürütme hattını hedefliyordu. TrapDoor insan-AI etkileşim katmanını hedefliyor, geleneksel bağımlılık tarama araçlarının saptayamayacağı bir saldırı yüzeyi.
Başlangıçtaki kimlik bilgisi hırsızlığının ötesinde, TrapDoor ele geçirilmiş makinelerde yedi kalıcılık mekanizması kuruyor:
.cursorrules ve CLAUDE.md dosyaları.bashrc, .zshrc)authorized_keys değişiklikleriYatay hareket yeteneği özellikle endişe verici. Tek bir ele geçirilmiş geliştirici makinesi, tekrar kullanılan SSH anahtarları aracılığıyla CI/CD altyapısına, dağıtım sunucularına ve iş arkadaşlarının iş istasyonlarına yayılabilir.
DeFi protokol güvenliği açısından sonuçlar bireysel geliştiricilerin çok ötesine geçiyor. Ele geçirilmiş bir geliştirici makinesi, deployer özel anahtarlarına, admin multisig anahtarlarına, CI/CD hattı sırlarına, köprü doğrulayıcı anahtarlarına ve oracle imza anahtarlarına erişim sağlayabilir.
Son olaylar bu tehdit modelini doğruluyor. Mart 2026'da Resolv açığından kaynaklanan saldırıda 23 milyon dolar kaybedildi, olay akıllı sözleşme hatasından değil zincir dışı altyapı hatasından kaynaklandı. Nisan 2026'daki Drift olayı ise 285 milyon dolar kayıp ile sosyal mühendisliği meşru yönetici erişimiyle birleştirdi. Bu saldırılar blok zinciri dışında başladı, yani TrapDoor'un çalıştığı yerde.
Güvenlik araştırmacıları, orta-büyük ölçekli bir DeFi protokolünde deployer anahtarlarına ulaşan TrapDoor tarzı bir ele geçirmenin 100 milyon ile 300 milyon dolar arasında zarara yol açabileceğini tahmin ediyor.
Socket, TrapDoor'u medyan tespit süresi 5 dakika 27 saniye ile tespit etti, en hızlı yakalama ise yayından sonra sadece 58 saniyeydi. Saldırgan GitHub hesabı ddjidd564 ve npm hesabı asdxzxc üzerinden faaliyet gösterdi, yük barındırma için bir GitHub Pages alanı kullandı.
Standart araçlar, npm audit, pip audit ve cargo audit gibi, AI zehirleme vektörünü tespit edemez. Kötü amaçlı "talimatlar", geleneksel anlamda yürütülebilir kod değil, Unicode içinde gizlenmiş doğal dil ifadeleridir.
Bağımlılıkları denetleyin. package.json, requirements.txt ve Cargo.toml dosyalarınızda listelenen 34 paketten herhangi biri olup olmadığını arayın.
Tüm kimlik bilgilerini değiştirin potansiyel olarak etkilenmiş makineler için: SSH anahtarları, AWS erişim anahtarları, GitHub tokenları ve cüzdan özel anahtarları. Anahtarlar makinede saklandıysa kripto fonlarını hemen yeni bir cüzdana taşıyın.
Kalıcılığı kontrol edin. .cursorrules ve CLAUDE.md dosyalarında sıfır genişlikli Unicode karakterlerini cat -v veya bir hex editörle kontrol edin. .git/hooks/ içindeki Git hook'larını, cron işleri, systemd servisleri ve kabuk profillerini şüpheli eklemeler için inceleyin.
CI/CD'de otomatik betik yürütmeyi devre dışı bırakın: npm ci --ignore-scripts ve pip install --no-build-isolation komutlarını kullanın.
Sadece CVE eşleştirmesi yapmayan, davranış analizi gerçekleştiren bağımlılık tarama araçları dağıtın. .cursorrules ve CLAUDE.md dosyalarını versiyon kontrolüne alın, böylece değişiklikler diff'lerde görünür. Yapılandırma dosyalarındaki sıfır genişlikli Unicode karakterlerini kontrol eden pre-commit hook'ları ekleyin. Tüm dağıtım anahtarları için donanım cüzdanları kullanın ve yönetici fonksiyonları için multisig zorunluluğu getirin.
TrapDoor, tedarik zinciri güvenliğinde bir dönüm noktasını işaret ediyor. event-stream saldırısı tek bir ekosistemde bir paketi hedef almıştı. TrapDoor aynı anda üç ekosistemi koordine ediyor, kimlik bilgilerini sızdırmadan önce doğruluyor, birden fazla kalıcılık mekanizması kuruyor, ağlarda yatay hareket ediyor ve her geliştiricinin iş akışında hızla standart hale gelen AI kod asistanlarını zehirliyor.
AI asistanları geliştirme süreçlerine daha derinlemesine entegre oldukça, oluşturdukları saldırı yüzeyi yalnızca büyüyecek. Görünmez Unicode hilesi işe yarıyor çünkü AI araçları yapılandırma dosyalarının tüm metin içeriğini işliyor. AI asistanı çerçeveleri gizli karakterler için içerik temizleme uygulayana kadar bu vektör açık kalmaya devam edecek.
Kripto geliştiricileri için mesaj net: geliştirme ortamınız artık birincil bir saldırı yüzeyi. Geliştirici makinesi güvenliğini akıllı sözleşme denetimleri kadar titizlikle ele alın.
Feragatname: Bu makale yalnızca bilgilendirme amaçlıdır ve finansal tavsiye niteliği taşımaz. Kripto para yatırımları önemli riskler içerir. Her zaman kendi araştırmanızı yapın ve yatırım kararları almadan önce nitelikli bir finansal danışmana danışın.
Piyasa analizi ve uygulanabilir içgörüler. Asla spam yok.